Uns wurden mehrere solcher Nachrichten zugesendet, die trotz unterschiedlicher Inhalte nach einem ähnlichen Muster funktionieren. Eine E-Mail fragt nach Ytongsteinen, obwohl nie Baustoffe angeboten wurden. Wenige Tage später interessiert sich eine angebliche Käuferin für einen Einkoch- und Partyautomaten. Andere Nachrichten erkundigen sich nach einem Schlafzimmer oder kündigen „beunruhigende Neuigkeiten“ an.
Solche Mails wirken zunächst eher verwirrend als gefährlich. Sie enthalten keinen Link, keinen Anhang und keine Zahlungsforderung. Gerade deshalb können sie funktionieren. Die Empfänger sollen noch nichts bezahlen und keine Zugangsdaten eingeben. Sie sollen lediglich antworten.
Die Antwort ist das erste Ziel
Die Nachrichten wirken wie gezielte Kontaktköder. Sie sollen zunächst nur eine Reaktion auslösen und damit ein Gespräch eröffnen. Welcher konkrete Betrugsversuch später folgen könnte, lässt sich aus dieser ersten Anbahnung noch nicht sicher ableiten.
Eine Antwort liefert den Versendern jedoch mehr als die Information, dass die Adresse technisch erreichbar ist. Sie bestätigt, dass ein Mensch das Postfach liest und auf unbekannte Kontakte reagiert. Für weitere Spamkampagnen und gezielte Täuschungsversuche kann genau das wertvoll sein.
Auch eine harmlose Reaktion wie „Sie haben sich geirrt“ erfüllt diesen Zweck. Der Absender weiß danach, dass sich mit dieser Person möglicherweise ein Gespräch beginnen lässt. Die Adresse kann erneut angeschrieben oder für spätere Kontaktversuche vorgemerkt werden.
Nicht jede rätselhafte Anfrage muss zwangsläufig in einen Betrug münden. Das wiederkehrende Muster und die fehlenden konkreten Angaben sprechen jedoch gegen eine gewöhnliche Verwechslung.
Verkaufsfragen senken die Vorsicht
Formulierungen wie „Ist das Angebot noch aktuell?“ passen zu Kleinanzeigen, Flohmärkten und Verkaufsplattformen. Sie wirken alltäglich und verlangen keine riskante Handlung. Viele Empfänger vermuten deshalb zunächst eine falsch eingegebene Adresse.
Genau darin liegt die Wirkung. Wer keinen Betrugsversuch erkennt, antwortet eher spontan. Die genannten Gegenstände sind meist so gewöhnlich, dass eine plausible Alltagssituation entsteht.
Auffällig werden die Nachrichten durch das, was fehlt. Seriöse Kaufinteressenten nennen meist die Plattform, den Standort, eine Anzeige oder ein konkretes Merkmal des Artikels. Bei den verdächtigen Mails fehlen Preis, Anzeigenkennung und Fundort.
Auch der Kontaktweg passt oft nicht. Kaufanfragen treffen gewöhnlich über die Plattform ein, auf der das Angebot veröffentlicht wurde. Wer gar nichts verkauft, hat ohnehin keinen nachvollziehbaren Anlass für die Nachricht.
Wenn nacheinander Baustoffe, Küchengeräte und Möbel genannt werden, wird eine echte Verwechslung zusätzlich unwahrscheinlich. Wahrscheinlicher sind automatisierte Massenaussendungen, bei denen Namen und Produktbegriffe aus wechselnden Vorlagen eingesetzt werden.
Der eigentliche Betrug kann später folgen
Nach einer Antwort können verschiedene Gesprächsverläufe beginnen. Eine angebliche Käuferin könnte um den Wechsel zu WhatsApp bitten, eine Telefonnummer verlangen oder einen Kurierdienst ins Spiel bringen. Später folgt möglicherweise ein angeblicher Zahlungs-, Abhol- oder Bestätigungslink.
Andere Versender bauen zunächst ein längeres Gespräch auf. Aus dem belanglosen Einstieg kann eine erfundene Notlage, ein Vorschussbetrug oder eine persönliche Annäherung entstehen. Auch Anlagebetrug und Romance-Scamming beginnen nicht immer mit einer Geldforderung. Häufig wird zuerst geprüft, ob die angesprochene Person verfügbar, hilfsbereit oder gesprächsoffen ist.
Deshalb wäre es zu früh, jede solche Verkaufsfrage bereits als Kleinanzeigenbetrug oder Phishing zu bezeichnen. Die vorliegenden Nachrichten zeigen nur die Anbahnung. Ohne weitere Korrespondenz bleibt offen, welche zweite Stufe vorgesehen war.
Klassisches Phishing verlangt meist Zugangsdaten oder führt auf eine nachgebaute Webseite. Bei diesen Mails fehlt dieser Schritt zunächst. Die spätere Kommunikation kann jedoch jederzeit in einen bekannten Betrugsablauf übergehen.
Angst ersetzt die Verkaufsfrage
Eine weitere an uns gemeldete Nachricht arbeitet nicht mit einer angeblichen Verkaufsanfrage, sondern mit Verunsicherung. Im Betreff steht „Beunruhigende Neuigkeiten“, im Text heißt es: „Ich habe beunruhigende Neuigkeiten für dich. Melde dich bei mir, wenn du allein bist.“ Die Formulierung verbindet Angst, Neugier und persönliche Dringlichkeit.
Der Benutzername der E-Mail-Adresse wird im Betreff oder in der Anrede übernommen. Dadurch wirkt die Nachricht persönlicher, obwohl dafür kein echtes Wissen über die angesprochene Person nötig ist.

Die Formulierung „wenn du allein bist“ kann außerdem verhindern, dass frühzeitig andere Personen einbezogen werden. Wer verunsichert ist, soll privat und möglichst schnell reagieren. Danach könnte ein angebliches Geheimnis, eine erfundene Gefahr, eine Erpressung oder ein Hilferuf folgen.
Auch hier ist das konkrete Szenario nicht belegt. Erkennbar ist aber der Versuch, über emotionale Spannung eine Kommunikation zu eröffnen. Die Verkaufsanfragen und die dramatische Andeutung nutzen damit denselben Grundmechanismus, obwohl sie nicht zwingend vom selben Absender stammen müssen.
Öffnen ist nicht dasselbe wie Antworten
Das Öffnen einer reinen Textmail verursacht normalerweise noch keinen (finanziellen) Schaden. Das größere Risiko beginnt mit der Antwort, dem Wechsel auf einen Messenger, der Preisgabe persönlicher Daten oder dem Öffnen später zugesandter Links und Dateien.
Trotzdem können E-Mails technische Trackingelemente enthalten. Externe Bilder oder unsichtbare Zählpixel können dem Absender unter Umständen anzeigen, dass eine Nachricht geöffnet wurde. Deshalb ist es sinnvoll, externe Inhalte in unbekannten Mails nicht automatisch laden zu lassen.
Wer bereits geantwortet hat, muss nicht automatisch von einem Schaden ausgehen. Wichtig ist, das Gespräch nicht fortzusetzen. Weitere Daten, Telefonnummern, Adressen oder Bestätigungscodes sollten nicht übermittelt werden.
Bei späteren Links gilt dieselbe Vorsicht wie bei anderen verdächtigen Nachrichten. Dienste sollten besser direkt über die bekannte Webseite oder App geöffnet werden. Ein zugesandter Link ist dafür nicht nötig.
So lässt sich das Risiko begrenzen
Verdächtige Nachrichten sollten nicht beantwortet, sondern als Spam oder Phishing markiert und gelöscht werden. Dadurch kann auch der Filter des Mailanbieters ähnliche Aussendungen künftig besser erkennen.
Wer eine Meldung oder Anzeige erwägt, sollte die vollständige Nachricht einschließlich Mailheader sichern. Daraus lassen sich Versandwege, Antwortadressen und beteiligte Server ablesen. Der sichtbare Absender allein reicht für eine technische Bewertung nicht aus.
Falls eine bekannte Domain missbraucht wurde, kann zusätzlich deren Betreiber oder Hoster informiert werden. Das bedeutet nicht automatisch, dass die Organisation hinter der Domain selbst beteiligt ist. Konten und Mailfunktionen können kompromittiert oder zweckentfremdet werden.
Eine unverfängliche Frage ist also nicht automatisch harmlos. Entscheidend ist, ob Anlass, Absender und Inhalt nachvollziehbar zusammenpassen. Fehlt jeder erkennbare Zusammenhang, sollte aus Neugier kein Gespräch entstehen.
FAQ
Woher kennen die Versender meinen Namen?
Namen können aus Datenlecks, öffentlichen Verzeichnissen, früheren Plattformkonten oder Bestandteilen der E-Mail-Adresse stammen. Eine persönliche Anrede beweist nicht, dass der Absender die Person tatsächlich kennt.
Ist meine E-Mail-Adresse gehackt?
Der Empfang solcher Nachrichten ist kein Beleg für einen gehackten Account. Häufig wurde die Adresse lediglich gesammelt, gekauft, erraten oder aus einem früheren Datenleck übernommen. Ein Blick auf die letzten Kontoanmeldungen und ein einzigartiges Passwort sind trotzdem sinnvoll.
Was tun, wenn bereits geantwortet wurde?
Das Gespräch sollte beendet werden. Weitere Daten, Codes oder Telefonnummern dürfen nicht übermittelt werden. Spätere Links und Anhänge sollten ungeöffnet bleiben. Wurden bereits Passwörter oder Bestätigungscodes weitergegeben, müssen die betroffenen Zugänge sofort abgesichert werden.
Hinweis: Stand zum Veröffentlichungsdatum.
Verwendete Bilder, Screenshots und Medien dienen ausschließlich der sachlichen Auseinandersetzung im Sinne des Zitatrechts (§ 51 UrhG).
Teile dieses Beitrags können KI-gestützt erstellt und redaktionell geprüft worden sein.
(Mehr zur Arbeitsweise)
